| 22 июля 2013 г. — 5:46 утра по тихоокеанскому времени
Изображение: joyenjoys.com
Двухминутный взлом SIM-карты может позволить злоумышленнику прослушивать ваши телефонные звонки, отправлять текстовые сообщения с вашего номера телефона и совершать мобильные платежи с вашего счета. Уязвимость, обнаруженная немецким исследователем безопасности, присутствует примерно в 750 миллионах SIM-карт — это примерно каждая четвертая SIM-карта.
Дайте мне любой номер телефона, и есть некоторая вероятность, что через несколько минут я смогу удаленно управлять этой SIM-картой и даже сделать ее копию…
Уязвимость была обнаружена Карстеном Нолом, основателем Security Research Labs в Берлине — человеком, который в 2009 году создал инструмент для взлома шифрования GSM, позволяющий любому, у кого есть сканер и ноутбук, прослушивать сотовые звонки. Система, использовавшаяся для шифрования звонков GSM, была усилена в результате его работы.
Эта новая уязвимость связана с системой шифрования, используемой на SIM-картах. Нол обнаружил, что, отправив на телефон поддельное текстовое сообщение от оператора, примерно в 25 процентах случаев телефон отвечал сообщением об ошибке, которое раскрывало 56-битный ключ безопасности SIM-карты. Второе текстовое сообщение, выдаваемое за обновление программного обеспечения, которое SIM-карта принимала, поскольку оно использовало ключ шифрования, затем позволяло установить вирус, который давал бы хакеру широкий контроль над телефоном.
Система работает только с SIM-картами, использующими старый метод шифрования, известный как Data Encryption Standard, или DES. Более современные SIM-карты используют более сильные методы шифрования, которые нельзя взломать таким же образом, но нет способа узнать, какую систему использует ваша SIM-карта.
Нол подробно представит свои выводы на конференции по безопасности Black Hat в августе, но он уже предоставил подробности мобильным операторам, чтобы они могли устранить уязвимость. Представитель GSM Association заявил:
Мы смогли рассмотреть последствия и предоставить рекомендации операторам сетей и поставщикам SIM-карт, которые могут быть затронуты.
Мы должны узнать на конференции, так ли это…